Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Métodos para vincular una instancia de Amazon EC2 a Simple AD
<a name="simple_ad_join_instance"></a>

Puede unir de forma sencilla una instancia de Amazon EC2 al dominio de Active Directory cuando se inicie la instancia. Para obtener más información, consulte [Cómo unir una instancia Windows de Amazon EC2 a su Active Directory AWS administrado de Microsoft AD](launching_instance.md). También puede lanzar una instancia EC2 y unirla a un dominio de Active Directory directamente desde la Directory Service consola con [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html).

Si necesita vincular de forma manual una instancia de EC2 al dominio de Active Directory, debe iniciar la instancia en la región adecuada y en el grupo de seguridad o la subred correctos. Luego, debe asociar la instancia al dominio.

Para poder conectarse de forma remota a estas instancias, debe disponer de conectividad IP a las instancias desde la red en la que se está conectando. En la mayoría de los casos, esto requiere conectar una puerta de enlace de Internet a su VPC y que la instancia tenga una dirección IP pública.

**Topics**
+ [Vinculación de una instancia de Windows de Amazon EC2 a Simple Active Directory (Simple AD)](simple_ad_launching_instance.md)
+ [Vinculación de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)](simple_ad_linux_domain_join.md)
+ [Delegación de privilegios de vinculación a directorios para Simple AD](simple_ad_directory_join_privileges.md)
+ [Creación de un conjunto de opciones de DHCP para Simple AD](simple_ad_dhcp_options_set.md)

# Vinculación de una instancia de Windows de Amazon EC2 a Simple Active Directory (Simple AD)
<a name="simple_ad_launching_instance"></a>

Puede iniciar y vincular una instancia de Windows de Amazon EC2 a Simple AD. Como alternativa, puede vincular de forma manual una instancia de Windows de EC2 existente a un Simple AD.

------
#### [ Seamlessly join an EC2 Windows ]

Para unirse a un dominio de una instancia de EC2 de forma fluida, se deberán completar los siguientes pasos:

**Requisitos previos**
+ Tenga un Simple AD Para obtener más información, consulte [Creación de Simple AD](simple_ad_getting_started.md#how_to_create_simple_ad).
+ Se necesitarán los siguientes permisos de IAM para unirse de manera fluida a una instancia de Windows de EC2:
  + Perfil de instancia de IAM con los siguientes permisos de IAM:
    + `AmazonSSMManagedInstanceCore`
    + `AmazonSSMDirectoryServiceAccess`
  + El usuario que realiza la unión fluida de dominio de EC2 con Simple AD necesita los siguientes permisos de IAM:
    + Directory Service Permisos:
      + `"ds:DescribeDirectories"`
      + `"ds:CreateComputer"`
    + Permisos de Amazon VPC:
      + `"ec2:DescribeVpcs"`
      + `"ec2:DescribeSubnets"`
      + `"ec2:DescribeNetworkInterfaces"`
      + `"ec2:CreateNetworkInterface"`
      + `"ec2:AttachNetworkInterface"`
    + Permisos de EC2:
      + `"ec2:DescribeInstances"`
      + `"ec2:DescribeImages"`
      + `"ec2:DescribeInstanceTypes"`
      + `"ec2:RunInstances"`
      + `"ec2:CreateTags"`
    + AWS Systems Manager Permisos:
      + `"ssm:DescribeInstanceInformation"`
      + `"ssm:SendCommand"`
      + `"ssm:GetCommandInvocation"`
      + `"ssm:CreateBatchAssociation"`

Cuando se crea su Simple AD, se crea un grupo de seguridad con reglas de entrada y salida. Para obtener más información acerca de las reglas y los puertos, consulte [¿Qué se crea con su Simple AD?](simple_ad_what_gets_created.md). A fin de realizar una unión fluida de dominio de una instancia de Windows de EC2, la VPC en la que se va a lanzar la instancia debe permitir los mismos puertos permitidos en las reglas de entrada y salida de su grupo de seguridad de Simple AD.
+ En función de la configuración de seguridad de la red y del firewall, es posible que se deba permitir tráfico saliente adicional. Este tráfico sería para HTTPS (puerto 443) a los siguientes puntos de conexión:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/simple_ad_launching_instance.html)
+ Se recomienda utilizar un servidor DNS que resuelva su nombre de dominio de Simple AD. Para lograrlo, se puede crear un conjunto de opciones de DHCP. Para obtener más información, consulte [Creación de un conjunto de opciones de DHCP para Simple AD](simple_ad_dhcp_options_set.md).
  + Si se decide no crear un conjunto de opciones de DHCP, sus servidores DNS serán estáticos y estarán configurados por Simple AD.

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. En la barra de navegación, elija el Región de AWS mismo directorio que el existente.

1. En el **panel de control de EC2**, en la sección **Lanzar instancia**, elija **Lanzar instancia**.

1. En la página **Lanzar una instancia**, en la sección **Nombre y etiquetas**, ingrese el nombre que desee utilizar para la instancia de EC2 de Windows.

1.  (Opcional) Elija **Agregar etiquetas adicionales** para agregar uno o varios pares clave-valor de etiqueta para organizar o controlar el acceso a esta instancia de EC2 o hacer su seguimiento. 

1. En la sección **Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon)**, elija **Windows** en el panel **Inicio rápido**. Puede cambiar la imagen de máquina de Amazon (AMI) de Windows desde la lista desplegable **Imagen de máquina de Amazon (AMI)**. 

1. En la sección **Tipo de instancia**, elija el tipo de instancia que desee usar en la lista desplegable **Tipo de instancia**.

1. En la sección **Par de claves (inicio de sesión)**, puede elegir entre crear un nuevo par de claves o elegir un par de claves existente.

   1. Para crear un nuevo par de claves, elija **Crear nuevo par de claves**.

   1. Ingrese un nombre para el par de claves y seleccione una opción en **Tipo de par de claves** y **Formato de archivo de clave privada**.

   1.  Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija **.pem**. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija **.ppk**.

   1. Elija **Crear par de claves**.

   1. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.
**importante**  
Esta es la única oportunidad para guardar el archivo de clave privada.

1. En la página **Lanzar una instancia**, en la sección **Configuración de red**, elija **Editar**. Elija la **VPC** en la que se creó el directorio en la lista desplegable **VPC:* obligatoria***.

1. Elija una de las subredes públicas de su VPC en la lista desplegable **Subred**. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

   Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte [Conexión a Internet mediante una puerta de enlace de Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.

1. En **Autoasignar IP pública**, elija **Habilitar**.

   Para obtener más información sobre direcciones IP públicas y privadas, consulte [Direccionamiento IP de instancias Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) en la *Guía del usuario de Amazon EC2*.

1. En la configuración **Firewall (grupos de seguridad)**, puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades. 

1. En la configuración **Configurar almacenamiento**, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

1. Seleccione la sección **Detalles avanzados** y elija su dominio en el menú desplegable **Directorio de vinculación de dominios**.
**nota**  
Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:   

![\[Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Este error se produce si el asistente de inicialización de EC2 identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:  
Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a inicializar la instancia de EC2 sin cambios.
Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará de forma automática cuando inicialice la instancia de EC2.

1. En **Perfil de instancia de IAM**, puede seleccionar un perfil de instancia de IAM existente o crear uno nuevo. Seleccione un perfil de instancia de IAM que tenga SSMDirectory ServiceAccess adjuntas las políticas AWS gestionadas **Amazon SSMManaged InstanceCore** y **Amazon** en la lista desplegable de **perfiles de instancias de IAM**. Para crear uno nuevo, elija el enlace **Crear un nuevo perfil de IAM** y, a continuación, haga lo siguiente: 

   1. Elija **Crear rol**.

   1. En **Seleccionar tipo de entidad de confianza**, elija **Servicio de AWS **.

   1. En **Caso de uso**, elija **EC2**.

   1.  En **Añadir permisos**, en la lista de políticas, selecciona las SSMDirectory ServiceAccess políticas de **Amazon SSMManaged InstanceCore** **y Amazon**. Para filtrar la lista, escriba **SSM** en el cuadro de búsqueda. Elija **Siguiente**. 
**nota**  
**Amazon SSMDirectory ServiceAccess** proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service. **Amazon SSMManaged InstanceCore** proporciona los permisos mínimos necesarios para utilizar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte [Creación de un perfil de instancia de IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) en la *Guía del usuario de AWS Systems Manager *.

   1. En la página **Asignar un nombre, revisar, crear**, ingrese un **Nombre de rol**. Necesitará este nombre de rol para asociarlo a la instancia de EC2.

   1. (Opcional) Puede proporcionar una descripción del perfil de instancia de IAM en el campo **Descripción**.

   1. Elija **Crear rol**.

   1.  Vuelva a la página **Lanzar una instancia** y elija el icono de actualización situado junto al **perfil de instancia de IAM**. El nuevo perfil de instancia de IAM debería estar visible en la lista desplegable **Perfil de instancia de IAM**. Elija el nuevo perfil y deje el resto de la configuración con sus valores predeterminados. 

1. Seleccione **Iniciar instancia**.

------
#### [ Manually join an EC2 Windows ]

Para vincular de forma manual una instancia de Windows de Amazon EC2 existente a un Simple Active Directory (Simple AD), la instancia se debe iniciar tal y como se especifica en [Vinculación de una instancia de Windows de Amazon EC2 a Simple Active Directory (Simple AD)](#simple_ad_launching_instance).

Necesitará las direcciones IP de los servidores DNS de Simple AD. Puede encontrar esta información en las secciones **Servicios de directorio** > **Directorios** > el enlace del **ID de directorio** de su directorio > **Detalles del directorio** y **Redes y seguridad**.

![\[En la Directory Service consola, en la página de detalles del directorio, aparecen resaltadas las direcciones IP de los servidores DNS Directory Service proporcionados.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/directory_details_highlighted.png)


**Cómo vincular una instancia de Windows a un Simple Active Directory (Simple AD)**

1. Conéctese a la instancia mediante un cliente de Protocolo de escritorio remoto.

1. Abra el cuadro de diálogo de IPv4 propiedades TCP/ de la instancia.

   1. Abra **Conexiones de red**.
**sugerencia**  
Puede abrir **Conexiones de red** directamente ejecutando lo siguiente en un símbolo del sistema en la instancia.  

      ```
      %SystemRoot%\system32\control.exe ncpa.cpl
      ```

   1. Abra el menú contextual (haga clic con el botón) de cualquier conexión de red habilitada y elija **Propiedades**.

   1. En el cuadro de diálogo de propiedades de conexión, abra (doble clic) **Protocolo de Internet versión 4**.

1. Seleccione **Usar las siguientes direcciones de servidor DNS**, cambie las direcciones de **Servidor DNS preferido** y **Servidor DNS alternativo** por las direcciones IP de sus servidores DNS proporcionados por Simple AD y seleccione **Aceptar**.  
![\[El cuadro de diálogo de propiedades del Protocolo de Internet versión 4 (TCP/IPv4) con los campos del servidor DNS preferido y del servidor DNS alternativo resaltados.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/dns_server_addresses.png)

1. Abra el cuadro de diálogo **Propiedades del sistema** de la instancia, seleccione la pestaña **Nombre de equipo** y elija **Cambiar**.
**sugerencia**  
Puede abrir el cuadro de diálogo **Propiedades del sistema** directamente en un símbolo del sistema en la instancia.  

   ```
   %SystemRoot%\system32\control.exe sysdm.cpl
   ```

1. En el campo **Miembro de**, seleccione **Dominio**, ingrese el nombre completo del Simple Active Directory (Simple AD) y seleccione **Aceptar**.

1. Cuando se le solicite el nombre y la contraseña de administrador de dominio, introduzca el nombre de usuario y la contraseña de una cuenta que tenga privilegios para vincularse al dominio. Para obtener más información sobre cómo delegar estos privilegios, consulte [Delegación de privilegios de vinculación a directorios para Simple AD](simple_ad_directory_join_privileges.md).
**nota**  
Puede escribir el nombre completo de su dominio o el nombre NetBIOS, seguido de una barra inversa (\$1) y, a continuación, el nombre de usuario. El nombre de usuario sería **Administrador**. Por ejemplo, **corp.example.com\$1administrator** o **corp\$1administrator**.

1. Cuando reciba el mensaje de bienvenida al dominio, reinicie la instancia para que se apliquen los cambios.

Ahora que su instancia se ha vinculado al dominio de Simple Active Directory (Simple AD), puede iniciar sesión en esa instancia de forma remota e instalar utilidades para administrar el directorio, como agregar usuarios y grupos. Las herramientas de administración de Active Directory se pueden utilizar para crear usuarios y grupos. Para obtener más información, consulte [Instalación de las herramientas de administración de Active Directory para Simple AD](simple_ad_install_ad_tools.md).

------

# Vinculación de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)
<a name="simple_ad_linux_domain_join"></a>

Puede inicializar y vincular una instancia de Amazon EC2 en Linux a Simple AD en la Consola de administración de AWS. También puede vincular de forma manual una instancia de Linux de EC2 a Simple AD.

Son compatibles las siguientes distribuciones y versiones de instancias de Linux:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**nota**  
Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 y 8 no admiten la característica de unión fluida de dominios.

**Topics**
+ [Vinculación fluida de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)](simple_ad_seamlessly_join_linux_instance.md)
+ [Vinculación manual de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)](simple_ad_join_linux_instance.md)

# Vinculación fluida de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)
<a name="simple_ad_seamlessly_join_linux_instance"></a>

Este procedimiento asocia, de manera fluida, una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD).

Son compatibles las siguientes distribuciones y versiones de instancias de Linux:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1

**nota**  
Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 y 8 no admiten la característica de unión fluida de dominios.

## Requisitos previos
<a name="simple_ad_seamless-linux-prereqs"></a>

Para poder configurar una vinculación de dominios fluida a una instancia de Linux, debe completar los procedimientos de esta sección.

### Selección de la cuenta de servicio de unión de dominios fluida
<a name="simple_ad_seamless-linux-prereqs-select"></a>

Puede unir de forma fluida equipos Linux a su dominio de Simple AD. Para ello, debe crear una cuenta de usuario con permisos de creación de cuentas de equipos para unir los equipos al dominio. Si bien es posible que los miembros de los *administradores del dominio* u otros grupos tengan privilegios suficientes para unir los equipos al dominio, no lo recomendamos. Como práctica recomendada, le recomendamos que utilice una cuenta de servicio que tenga los privilegios mínimos necesarios para unir los equipos al dominio.

Para obtener información sobre cómo procesar y delegar los permisos de su cuenta de servicio para la creación de cuentas de equipo, consulte [Privilegios delegados a su cuenta de servicio](ad_connector_getting_started.md#connect_delegate_privileges).

### Creación de secretos para almacenar la cuenta de servicio de dominio
<a name="-create-secrets"></a>

Se puede utilizar AWS Secrets Manager para almacenar la cuenta de servicio de dominio. Para obtener más información, consulta [Crear un AWS Secrets Manager secreto](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).

**nota**  
Hay tarifas asociadas con Secrets Manager. Para obtener más información, consulte [Precios](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) en la *Guía del usuario de AWS Secrets Manager *.

**Creación de secretos y almacenamiento de la información de la cuenta de servicio de dominio**

1. Inicie sesión en Consola de administración de AWS y abra la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Elija **Almacenar un secreto nuevo**. 

1. En la página **Store a new secret** (Almacenar un nuevo secreto), haga lo siguiente:

   1. En **Tipo de secreto**, seleccione **Otro tipo de secretos**.

   1. En **Pares clave/valor**, haga lo siguiente:

      1. En el cuadro de filtro, escriba **awsSeamlessDomainUsername**. En la misma fila, en el cuadro siguiente, ingrese el nombre de usuario de su cuenta de servicio. Por ejemplo, si utilizó el PowerShell comando anteriormente, el nombre de la cuenta de servicio sería**awsSeamlessDomain**.
**nota**  
Debe ingresar **awsSeamlessDomainUsername** exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.   
![\[En la AWS Secrets Manager consola, en la página de selección de un tipo de secreto. En el tipo de secreto, se selecciona otro tipo de secreto y se introduce awsSeamlessDomainUsername como valor clave.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. Seleccione **Agregar regla**.

      1. En la nueva fila, en el primer cuadro, ingrese **awsSeamlessDomainPassword**. En la misma fila, en el cuadro siguiente, ingrese la contraseña de su cuenta de servicio.
**nota**  
Debe ingresar **awsSeamlessDomainPassword** exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará. 

      1. En **Clave de cifrado**, deje el valor predeterminado `aws/secretsmanager`. AWS Secrets Manager siempre cifra el secreto al elegir esta opción. También puede elegir una clave que haya creado.

      1. Elija **Siguiente**.

1. En **Nombre secreto**, introduce un nombre secreto que incluya tu ID de directorio *d-xxxxxxxxx* con el siguiente formato y sustitúyelo por tu ID de directorio:

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   Se usará para recuperar los secretos de la aplicación.
**nota**  
Debe introducirlo **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** exactamente como está, pero *d-xxxxxxxxxx* sustitúyalo por su ID de directorio. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.   
![\[En la AWS Secrets Manager consola, en la página secreta de configuración. Se introduce el nombre del secreto y se resalta.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. Deje todo lo demás con los valores predeterminados y, a continuación, elija **Siguiente**.

1. En **Configurar rotación automática**, elija **Deshabilitar rotación automática** y, a continuación, **Siguiente**.

   Puede activar la rotación de este secreto después de almacenarlo.

1. Revise la configuración y, a continuación, elija **Almacenar** para guardar los cambios. La consola de Secrets Manager vuelve a la lista de secretos de su cuenta con el nuevo secreto ahora incluido en la lista. 

1. Elija el nombre del secreto recién creado de la lista y tome nota del valor del **ARN del secreto**. Lo necesitará en la sección siguiente.

### Activación de la rotación para el secreto de la cuenta de servicio de dominio
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

Se recomienda modificar los secretos de manera regular para mejorar la postura de seguridad. 

**Activación de la rotación para el secreto de la cuenta de servicio de dominio**
+ Siga las instrucciones de la *Guía del AWS Secrets Manager usuario sobre cómo configurar la rotación automática de* [los AWS Secrets Manager secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html).

  Para el paso 5, utilice la plantilla de rotación [Credenciales de Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) en la *Guía del usuario de AWS Secrets Manager *.

  Para obtener ayuda, consulte [Solucionar problemas de AWS Secrets Manager rotación](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) en la *Guía del AWS Secrets Manager usuario*.

### Creación del rol y la política de IAM obligatorios
<a name="seamless-linux-prereqs-create-policy"></a>

Siga los siguientes pasos previos para crear una política personalizada que permita el acceso de solo lectura a su secreto de unión a dominios integrada de Secrets Manager (que creó anteriormente) y para crear un nuevo rol de EC2 DomainJoin IAM de Linux. 

#### Creación de la política de lectura de IAM de Secrets Manager
<a name="seamless-linux-prereqs-create-policy-step1"></a>

Utilizará la consola de IAM para crear una política que concede acceso de solo lectura a su secreto de Secrets Manager.

**Creación de la política de lectura de IAM de Secrets Manager**

1. Inicie sesión Consola de administración de AWS como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación, en **Administración de acceso**, seleccione **Políticas**.

1. Elija **Crear política**.

1. Seleccione la pestaña **JSON** y copie el texto del siguiente documento de política JSON. A continuación, péguelo en el cuadro de texto **JSON**.
**nota**  
Asegúrese de reemplazar la región y el ARN del recurso con la región real y el ARN del secreto que creó con anterioridad.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. Cuando haya terminado, elija **Next**. El validador de políticas notifica los errores de sintaxis. Para obtener más información, consulte [Validación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).

1. En la página **Revisar política**, ingrese un nombre para la política, como **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Revise el **Resumen** de la política para ver los permisos concedidos por su política. Seleccione **Crear política** para guardar los cambios. La nueva política aparece en la lista de las políticas administradas y está lista para asociar a una identidad.

**nota**  
Se recomienda que cree una política por secreto. De este modo, se garantiza que las instancias solo tengan acceso al secreto adecuado y se minimiza el impacto en caso de que una instancia se vea comprometida. 

#### Cree el rol de Linux EC2 DomainJoin
<a name="seamless-linux-prereqs-create-policy-step2"></a>

Utilice la consola de IAM para crear el rol que utilizará para unirse al dominio de su instancia de EC2 de Linux.

**Para crear el EC2 DomainJoin rol de Linux**

1. Inicie sesión Consola de administración de AWS como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.

1. En el panel de contenido, elija **Crear rol**.

1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS **.

1. En **Caso de uso**, seleccione **EC2** y luego elija **Siguiente**.  
![\[En la consola de IAM, en la página de selección de la entidad de confianza. AWS se seleccionan el servicio y el EC2.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. En **Políticas de filtro**, haga lo siguiente:

   1. Escriba **AmazonSSMManagedInstanceCore**. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

   1. Escriba **AmazonSSMDirectoryServiceAccess**. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

   1. Ingrese **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (o el nombre de la política creada en el procedimiento anterior). A continuación, seleccione la casilla de verificación de ese elemento de la lista.

   1. Tras añadir las tres políticas enumeradas anteriormente, seleccione **Crear rol**.
**nota**  
Amazon SSMDirectory ServiceAccess proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service. Amazon SSMManaged InstanceCore proporciona los permisos mínimos necesarios para utilizar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte [Creación de un perfil de instancia de IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) en la *Guía del usuario de AWS Systems Manager *.

1. Ingrese un nombre para su nuevo rol, como **LinuxEC2DomainJoin** o cualquier otro nombre de su preferencia en el campo **Nombre del rol**.

1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.

1. (Opcional) Para añadir etiquetas, elija **Agregar nueva etiqueta** en el **Paso 3: agregar etiquetas**. Los pares clave-valor con etiqueta se utilizan para organizar, realizar un seguimiento o controlar el acceso a este rol.

1. Elija **Crear rol**.

## Vinculación fluida de una instancia de Linux a Simple Active Directory (Simple AD)
<a name="simple_ad_seamless-linux-join-instance"></a>

**Cómo vincular de manera fluida una instancia de Linux**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. En el selector de regiones de la barra de navegación, elija el Región de AWS mismo directorio que el existente.

1. En el **panel de control de EC2**, en la sección **Lanzar instancia**, elija **Lanzar instancia**.

1. En la página **Iniciar una instancia**, en la sección **Nombre y etiquetas**, ingrese el nombre que desee utilizar para la instancia de EC2 en Linux.

1.  *(Opcional)* Seleccione **Agregar etiquetas adicionales** para añadir uno o más pares clave-valor con etiquetas y así organizar, hacer un seguimiento o controlar el acceso a esta instancia de EC2. 

1. En la sección **Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon)**, elija la AMI de Linux que desee iniciar.
**nota**  
La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte [Obtener la versión de SSM Agent instalada actualmente](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Si necesita actualizar SSM Agent, consulte [Instalación y configuración de SSM Agent en instancias de EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM usa el complemento `aws:domainJoin` al vincular una instancia de Linux a un dominio de Active Directory. El complemento cambia el nombre de host de las instancias de Linux al formato AMAZ-. EC2 *XXXXXXX* Para obtener más información sobre `aws:domainJoin`, consulte [Referencia de complementos del documento de comandos de AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) en la *Guía del usuario de AWS Systems Manager *.

1. En la sección **Tipo de instancia**, elija el tipo de instancia que desee usar en la lista desplegable **Tipo de instancia**.

1. En la sección **Par de claves (inicio de sesión)**, puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija **Crear nuevo par de claves**. Ingrese un nombre para el par de claves y seleccione una opción en **Tipo de par de claves** y **Formato de archivo de clave privada**. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija **.pem**. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija **.ppk**. Elija **Crear par de claves**. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.
**importante**  
Esta es la única oportunidad para guardar el archivo de clave privada.

1. En la página **Lanzar una instancia**, en la sección **Configuración de red**, elija **Editar**. Elija la **VPC** en la que se creó el directorio en la lista desplegable **VPC:* obligatoria***.

1. Elija una de las subredes públicas de su VPC en la lista desplegable **Subred**. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

   Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte [Conexión a Internet mediante una puerta de enlace de Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.

1. En **Autoasignar IP pública**, elija **Habilitar**.

   Para obtener más información sobre direcciones IP públicas y privadas, consulte [Direccionamiento IP de instancias Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) en la *Guía del usuario de Amazon EC2*.

1. En la configuración **Firewall (grupos de seguridad)**, puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades. 

1. En la configuración **Configurar almacenamiento**, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

1. Seleccione la sección **Detalles avanzados** y elija su dominio en el menú desplegable **Directorio de vinculación de dominios**.
**nota**  
Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:   

![\[Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Este error se produce si el asistente de inicialización de EC2 identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:  
Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a inicializar la instancia de EC2 sin cambios.
Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará de forma automática cuando inicialice la instancia de EC2.

1. Para el **perfil de instancia de IAM**, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. **Paso 2:** Crear el rol de Linux. EC2 DomainJoin 

1. Seleccione **Iniciar instancia**.

**nota**  
Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba **sudo reboot**.

# Vinculación manual de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)
<a name="simple_ad_join_linux_instance"></a>

Además de instancias de Amazon EC2 en Windows, también puede vincular determinadas instancias de Amazon EC2 en Linux a Simple Active Directory (Simple AD). Son compatibles las siguientes distribuciones y versiones de instancias de Linux:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ AMI de Amazon Linux 2023
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1

**nota**  
Puede que funcionen otras versiones y distribuciones de Linux, pero no se han probado.

## Requisitos previos
<a name="simple_ad_join_linux_prereq"></a>

Antes de poder unir una instancia de Amazon Linux, CentOS, Red Hat o Ubuntu a su directorio, la instancia debe lanzarse primero como se especifica en [Vinculación fluida de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)](simple_ad_seamlessly_join_linux_instance.md).

**importante**  
Algunos de los siguientes procedimientos, si no se siguen correctamente, pueden hacer que la instancia resulte inaccesible o inservible. Por lo tanto, recomendamos encarecidamente que realice una copia de seguridad o una instantánea de la instancia antes de realizar estos procedimientos.

**Para unir una instancia de Linux al directorio**  
Siga los pasos para su instancia de Linux específica mediante una de las siguientes pestañas:

------
#### [ Amazon Linux ]<a name="amazonlinux"></a>

1. Conéctese a la instancia con cualquier cliente SSH.

1. Configure la instancia de Linux para que utilice las direcciones IP del servidor DNS Directory Service de los servidores DNS proporcionados. Puede hacerlo configurándolo en el conjunto de opciones de DHCP asociado a la VPC o ajustándolo manualmente en la instancia. Si desea ajustarlo de forma manual, consulte [Cómo asignar un servidor DNS estático a una instancia de Amazon EC2 privada](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) en el Centro de conocimientos de AWS para obtener información sobre la configuración del servidor DNS persistente para una distribución y una versión de Linux específicas.

1. Asegúrese de que la instancia de 64 bits de Amazon Linux esté actualizada.

   ```
   sudo yum -y update
   ```

1. Instale los paquetes necesarios de Amazon Linux en la instancia de Linux.
**nota**  
Algunos de estos paquetes pueden estar ya instalados.   
Al instalar los paquetes, es posible que aparezcan varias pantallas de configuración emergentes. Por lo general, puede dejar vacíos los campos de estas pantallas.  
Amazon Linux  

   ```
   sudo yum install samba-common-tools realmd oddjob oddjob-mkhomedir sssd adcli krb5-workstation
   ```
**nota**  
Si necesita ayuda para determinar la versión de Amazon Linux que está utilizando, consulte [Identificación de imágenes de Amazon Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#amazon-linux-image-id) en la *Guía del usuario de Amazon EC2 para instancias de Linux*.

1. Una la instancia al directorio con el siguiente comando. 

   ```
   sudo realm join -U join_account@EXAMPLE.COM example.com --verbose
   ```  
*join\$1account@EXAMPLE.COM*  
Una cuenta del *example.com* dominio que tiene privilegios de unión a un dominio. Introduzca la contraseña de la cuenta cuando se le solicite. Para obtener más información sobre cómo delegar estos privilegios, consulte [Delegación de privilegios de unión a directorios para Microsoft AWS AD administrado](directory_join_privileges.md).  
*example.com*  
El nombre de DNS completo del directorio.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Configure el servicio SSH para permitir autenticación de contraseñas.

   1. Abra el archivo `/etc/ssh/sshd_config` en un editor de texto.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Establezca la opción `PasswordAuthentication` en `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie el servicio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Otra opción:

      ```
      sudo service sshd restart
      ```

1. Una vez que la instancia se haya reiniciado, conéctese a ella con cualquier cliente SSH y añada el grupo de administradores de dominios a la lista sudoers siguiendo estos pasos:

   1. Abra el archivo `sudoers` con el siguiente comando:

      ```
      sudo visudo
      ```

   1. Agregue lo siguiente a la parte inferior del archivo `sudoers` y guárdelo.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (En el ejemplo anterior, se utiliza“\$1<espacio>” para crear el carácter de espacio en Linux).

------
#### [ CentOS ]<a name="centos"></a>

1. Conéctese a la instancia con cualquier cliente SSH.

1. Configure la instancia de Linux para que utilice las direcciones IP del servidor DNS Directory Service de los servidores DNS proporcionados. Puede hacerlo configurándolo en el conjunto de opciones de DHCP asociado a la VPC o ajustándolo manualmente en la instancia. Si desea ajustarlo de forma manual, consulte [Cómo asignar un servidor DNS estático a una instancia de Amazon EC2 privada](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) en el Centro de conocimientos de AWS para obtener información sobre la configuración del servidor DNS persistente para una distribución y una versión de Linux específicas.

1. Asegúrese de que la instancia de CentOS 7 esté actualizada.

   ```
   sudo yum -y update
   ```

1. Instale los paquetes necesarios de CentOS 7 en la instancia de Linux.
**nota**  
Algunos de estos paquetes pueden estar ya instalados.   
Al instalar los paquetes, es posible que aparezcan varias pantallas de configuración emergentes. Por lo general, puede dejar vacíos los campos de estas pantallas.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Una la instancia al directorio con el siguiente comando. 

   ```
   sudo realm join -U join_account@example.com example.com --verbose
   ```  
*join\$1account@example.com*  
Una cuenta del *example.com* dominio que tiene privilegios de unión a un dominio. Introduzca la contraseña de la cuenta cuando se le solicite. Para obtener más información sobre cómo delegar estos privilegios, consulte [Delegación de privilegios de unión a directorios para Microsoft AWS AD administrado](directory_join_privileges.md).  
*example.com*  
El nombre de DNS completo del directorio.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Configure el servicio SSH para permitir autenticación de contraseñas.

   1. Abra el archivo `/etc/ssh/sshd_config` en un editor de texto.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Establezca la opción `PasswordAuthentication` en `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie el servicio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Otra opción:

      ```
      sudo service sshd restart
      ```

1. Una vez que la instancia se haya reiniciado, conéctese a ella con cualquier cliente SSH y añada el grupo de administradores de dominios a la lista sudoers siguiendo estos pasos:

   1. Abra el archivo `sudoers` con el siguiente comando:

      ```
      sudo visudo
      ```

   1. Agregue lo siguiente a la parte inferior del archivo `sudoers` y guárdelo.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (En el ejemplo anterior, se utiliza“\$1<espacio>” para crear el carácter de espacio en Linux).

------
#### [ Red hat ]<a name="redhat"></a>

1. Conéctese a la instancia con cualquier cliente SSH.

1. Configure la instancia de Linux para que utilice las direcciones IP del servidor DNS Directory Service de los servidores DNS proporcionados. Puede hacerlo configurándolo en el conjunto de opciones de DHCP asociado a la VPC o ajustándolo manualmente en la instancia. Si desea ajustarlo de forma manual, consulte [Cómo asignar un servidor DNS estático a una instancia de Amazon EC2 privada](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) en el Centro de conocimientos de AWS para obtener información sobre la configuración del servidor DNS persistente para una distribución y una versión de Linux específicas.

1. Asegúrese de que la instancia de 64 bits de Red Hat esté actualizada.

   ```
   sudo yum -y update
   ```

1. Instale los paquetes necesarios de Red Hat en la instancia de Linux.
**nota**  
Algunos de estos paquetes pueden estar ya instalados.   
Al instalar los paquetes, es posible que aparezcan varias pantallas de configuración emergentes. Por lo general, puede dejar vacíos los campos de estas pantallas.

   ```
   sudo yum -y install sssd realmd krb5-workstation samba-common-tools
   ```

1. Una la instancia al directorio con el siguiente comando. 

   ```
   sudo realm join -v -U join_account example.com --install=/
   ```  
*join\$1account*  
El **AMAccountnombre s** de una cuenta del *example.com* dominio que tiene privilegios de unión a un dominio. Introduzca la contraseña de la cuenta cuando se le solicite. Para obtener más información sobre cómo delegar estos privilegios, consulte [Delegación de privilegios de unión a directorios para Microsoft AWS AD administrado](directory_join_privileges.md).  
*example.com*  
El nombre de DNS completo del directorio.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Configure el servicio SSH para permitir autenticación de contraseñas.

   1. Abra el archivo `/etc/ssh/sshd_config` en un editor de texto.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Establezca la opción `PasswordAuthentication` en `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie el servicio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Otra opción:

      ```
      sudo service sshd restart
      ```

1. Una vez que la instancia se haya reiniciado, conéctese a ella con cualquier cliente SSH y añada el grupo de administradores de dominios a la lista sudoers siguiendo estos pasos:

   1. Abra el archivo `sudoers` con el siguiente comando:

      ```
      sudo visudo
      ```

   1. Agregue lo siguiente a la parte inferior del archivo `sudoers` y guárdelo.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (En el ejemplo anterior, se utiliza“\$1<espacio>” para crear el carácter de espacio en Linux).

------
#### [ Ubuntu ]<a name="ubuntu"></a>

1. Conéctese a la instancia con cualquier cliente SSH.

1. Configure la instancia de Linux para que utilice las direcciones IP del servidor DNS Directory Service de los servidores DNS proporcionados. Puede hacerlo configurándolo en el conjunto de opciones de DHCP asociado a la VPC o ajustándolo manualmente en la instancia. Si desea ajustarlo de forma manual, consulte [Cómo asignar un servidor DNS estático a una instancia de Amazon EC2 privada](https://aws.amazon.com/premiumsupport/knowledge-center/ec2-static-dns-ubuntu-debian/) en el Centro de conocimientos de AWS para obtener información sobre la configuración del servidor DNS persistente para una distribución y una versión de Linux específicas.

1. Asegúrese de que la instancia de 64 bits de Ubuntu esté actualizada.

   ```
   sudo apt-get update
   sudo apt-get -y upgrade
   ```

1. Instale los paquetes necesarios de Ubuntu en la instancia de Linux.
**nota**  
Algunos de estos paquetes pueden estar ya instalados.   
Al instalar los paquetes, es posible que aparezcan varias pantallas de configuración emergentes. Por lo general, puede dejar vacíos los campos de estas pantallas.

   ```
   sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
   ```

1. Deshabilite la resolución inversa de DNS y establezca el dominio predeterminado en el FQDN de su dominio. Las instancias de Ubuntu **deben** poder resolverse de forma inversa en el DNS para que el dominio funcione. De lo contrario, tiene que deshabilitar el DNS inverso en /etc/krb5.conf de la manera siguiente:

   ```
   sudo vi /etc/krb5.conf
   ```

   ```
   [libdefaults]
   default_realm = EXAMPLE.COM
   rdns = false
   ```

1. Una la instancia al directorio con el siguiente comando. 

   ```
   sudo realm join -U join_account example.com --verbose
   ```  
*join\$1account@example.com*  
El **AMAccountnombre s** de una cuenta del *example.com* dominio que tiene privilegios de unión a un dominio. Introduzca la contraseña de la cuenta cuando se le solicite. Para obtener más información sobre cómo delegar estos privilegios, consulte [Delegación de privilegios de unión a directorios para Microsoft AWS AD administrado](directory_join_privileges.md).  
*example.com*  
El nombre de DNS completo del directorio.

   ```
   ...
    * Successfully enrolled machine in realm
   ```

1. Configure el servicio SSH para permitir autenticación de contraseñas.

   1. Abra el archivo `/etc/ssh/sshd_config` en un editor de texto.

      ```
      sudo vi /etc/ssh/sshd_config
      ```

   1. Establezca la opción `PasswordAuthentication` en `yes`.

      ```
      PasswordAuthentication yes
      ```

   1. Reinicie el servicio SSH.

      ```
      sudo systemctl restart sshd.service
      ```

      Otra opción:

      ```
      sudo service sshd restart
      ```

1. Una vez que la instancia se haya reiniciado, conéctese a ella con cualquier cliente SSH y añada el grupo de administradores de dominios a la lista sudoers siguiendo estos pasos:

   1. Abra el archivo `sudoers` con el siguiente comando:

      ```
      sudo visudo
      ```

   1. Agregue lo siguiente a la parte inferior del archivo `sudoers` y guárdelo.

      ```
      ## Add the "Domain Admins" group from the example.com domain.
      %Domain\ Admins@example.com ALL=(ALL:ALL) ALL
      ```

      (En el ejemplo anterior, se utiliza“\$1<espacio>” para crear el carácter de espacio en Linux).

------

**nota**  
Cuando se utiliza Simple AD, si se crea una cuenta de usuario en una instancia de Linux con la opción “Obligar al usuario a cambiar la contraseña en el primer inicio de sesión”, el usuario no podrá cambiar inicialmente la contraseña con **kpasswd**. Para cambiar la contraseña la primera vez, un administrador del dominio debe actualizar la contraseña de usuario utilizando las herramientas de administración de Active Directory.

## Administración de cuentas desde una instancia de Linux
<a name="simple_ad_manage_accounts"></a>

Para administrar cuentas de Simple AD desde una instancia de Linux, debe actualizar los archivos de configuración específicos de la instancia de Linux como se indica a continuación:

1. ****Defina **krb5\$1use\$1kdcinfo** como False en el archivo/.conf. etc/sssd/sssd**** Por ejemplo:

   ```
   [domain/example.com]
       krb5_use_kdcinfo = False
   ```

1. Para que se aplique la configuración, debe reiniciar el servicio sssd:

   ```
   $ sudo systemctl restart sssd.service
   ```

   También puede usar:

   ```
   $ sudo service sssd start
   ```

1. Si va a administrar usuarios desde una instancia de CentOS Linux, también debe editar el archivo **/etc/smb.conf** para incluir: 

   ```
   [global] 
     workgroup = EXAMPLE.COM
     realm = EXAMPLE.COM 
     netbios name = EXAMPLE
     security = ads
   ```

## Restricción de acceso de inicio de sesión de cuenta
<a name="simple_ad_linux_filter"></a>

Como todas las cuentas están definidas en Active Directory, todos los usuarios del directorio pueden iniciar sesión en la instancia de forma predeterminada. Puede permitir que solo unos usuarios específicos inicien sesión en la instancia con **ad\$1access\$1filter** en **sssd.conf**. Por ejemplo:

```
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

*memberOf*  
Indica que solo debe permitirse el acceso a la instancia a los usuarios si son miembros de un grupo específico.

*cn*  
El nombre común del grupo que debería tener acceso. En este ejemplo, el nombre del grupo *admins* es.

*ou*  
Esta es la unidad organizativa en la que se encuentra el grupo anterior. En este ejemplo, la OU es*Testou*.

*dc*  
Este es el componente de dominio de su dominio. En este ejemplo, *example*.

*dc*  
Este es un componente de dominio adicional. En este ejemplo, *com*.

Debe agregar manualmente **ad\$1access\$1filter** a su **/etc/sssd/sssd.conf**.

Abra el archivo **/etc/sssd/sssd.conf** en un editor de texto.

```
sudo vi /etc/sssd/sssd.conf
```

Después de hacerlo, su **sssd.conf** podrá tener este aspecto:

```
[sssd]
domains = example.com
config_file_version = 2
services = nss, pam

[domain/example.com]
ad_domain = example.com
krb5_realm = EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
```

Para que se aplique la configuración, debe reiniciar el servicio sssd:

```
sudo systemctl restart sssd.service
```

También puede usar:

```
sudo service sssd restart
```

## Asignación de ID
<a name="simple-ad-id-mapping"></a>

La asignación de ID se puede realizar mediante dos métodos para mantener una experiencia unificada entre las identidades del identificador de usuario (UID) y el identificador de grupo (GID) de UNIX/Linux y las identidades del identificador de seguridad (SID) de Windows y Active Directory. Estos métodos son:

1. Centralizado

1. Distribuido

**nota**  
La asignación centralizada de identidad de usuario en Active Directory requiere una interfaz de sistema operativo portátil o POSIX.

**Asignación centralizada de identidad de usuario**  
Active Directory u otro servicio del protocolo ligero de acceso a directorios (LDAP) proporciona UID y GID a los usuarios de Linux. En Active Directory, estos identificadores se almacenan en los atributos de los usuarios si está configurada la extensión POSIX:
+ UID: el nombre de usuario de Linux (cadena)
+ Número de UID: el número de ID de usuario de Linux (entero)
+ Número de GID: el número de ID del grupo de Linux (entero)

Para configurar una instancia de Linux para usar el UID y GID desde Active Directory, configure `ldap_id_mapping = False` en el archivo sssd.conf. Antes de establecer este valor, compruebe que ha agregado un UID, un número UID y un número GID para los usuarios y grupos en Active Directory.

**Asignación distribuida de identidades de usuarios**  
Si Active Directory no tiene la extensión POSIX o si decide no administrar de forma centralizada la asignación de identidades, Linux puede calcular los valores de UID y GID. Linux utiliza el identificador de seguridad (SID) único del usuario para mantener la consistencia.

Para configurar la asignación distribuida de ID de usuario, configure `ldap_id_mapping = True` en el archivo sssd.conf.

**Problemas comunes**  
Si se configura `ldap_id_mapping = False`, a veces se producirá un error al iniciar el servicio SSSD. El motivo de este error se debe a que UIDs no se admiten cambios. Se recomienda que elimine la caché SSSD cada vez que cambie de una asignación de ID a atributos POSIX o de atributos POSIX a una asignación de ID. Para obtener más información sobre la asignación de ID y los parámetros ldap\$1id\$1mapping, consulte la página de manual sssd-ldap (8) en la línea de comandos de Linux.

## Conexión a la instancia de Linux
<a name="simple_ad_linux_connect"></a>

Cuando un usuario se conecta a la instancia mediante un cliente SSH, se le solicita que indique su nombre de usuario. El usuario puede introducir el nombre de usuario en formato `username@example.com` o `EXAMPLE\username`. La respuesta será similar a la siguiente, en función de la distribución de Linux que utilice:

**Amazon Linux, Red Hat Enterprise Linux y CentOS Linux**

```
login as: johndoe@example.com
johndoe@example.com's password:
Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
```

**SUSE Linux**

```
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)

As "root" (sudo or sudo -i) use the:
  - zypper command for package management
  - yast command for configuration management

Management and Config: https://www.suse.com/suse-in-the-cloud-basics
Documentation: https://www.suse.com/documentation/sles-15/
Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud

Have a lot of fun...
```

**Ubuntu Linux**

```
login as: admin@example.com
admin@example.com@10.24.34.0's password:
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64)

* Documentation:  https://help.ubuntu.com
* Management:     https://landscape.canonical.com
* Support:        https://ubuntu.com/advantage

  System information as of Sat Apr 18 22:03:35 UTC 2020

  System load:  0.01              Processes:           102
  Usage of /:   18.6% of 7.69GB   Users logged in:     2
  Memory usage: 16%               IP address for eth0: 10.24.34.1
  Swap usage:   0%
```

# Delegación de privilegios de vinculación a directorios para Simple AD
<a name="simple_ad_directory_join_privileges"></a>

Para unir un equipo al directorio, necesita una cuenta con privilegios para unir equipos al directorio. 

Con Simple AD, los miembros del grupo **Administradores de dominios** tienen privilegios suficientes para unir equipos al directorio.

No obstante, la práctica recomendada es que use una cuenta que tenga solo los privilegios mínimos necesarios. En el procedimiento siguiente se explica cómo crear un nuevo grupo denominado `Joiners` y cómo delegar en este grupo los privilegios necesarios para unir equipos al directorio.

Debe llevar a cabo este procedimiento en un equipo que esté unido al directorio y que tenga instalado el complemento de MMC **Usuarios y equipos de Active Directory**. Además, es necesario la sesión se inicie como administrador del dominio.

**Para delegar privilegios de unión para Simple AD**

1. Abra **Usuarios y equipos de Active Directory** y seleccione la raíz del dominio en el árbol de navegación.

1. En el árbol de navegación de la izquierda, abra el menú contextual (haga clic con el botón derecho) **Users (Usuarios)**, seleccione **New (Nuevo)** y, a continuación, elija **Group (Grupo)**. 

1. En el cuadro **Nuevo objeto - Grupo**, escriba lo siguiente y haga clic en **Aceptar**.
   + En **Group Name (Nombre de grupo)**, escriba **Joiners**.
   + En **Ámbito de grupo**, escriba **Global**.
   + En **Tipo de grupo**, seleccione **Seguridad**.

1. En el árbol de navegación, seleccione la raíz del dominio. En el menú **Acción**, elija **Delegar control**.

1. En la página **Asistente para delegación de control**, elija **Siguiente** y después seleccione **Agregar**.

1. En el cuadro de diálogo **Seleccionar usuarios, equipos o grupos**, escriba `Joiners` y haga clic en **Aceptar**. Si se encuentran varios objetos, seleccione el grupo `Joiners` que creó anteriormente. Elija **Siguiente**.

1. En la página **Tareas que se delegarán**, seleccione **Crear una tarea personalizada para delegar** y luego elija **Siguiente**.

1. Seleccione **Sólo los siguientes objetos en la carpeta** y, a continuación, seleccione **Objetos de equipo**. 

1. Seleccione **Crear los objetos seleccionados en esta carpeta** y **Eliminar los objetos seleccionados en esta carpeta**. A continuación, elija **Siguiente**.  
![\[Cuadro de diálogo Delegación de control en el Asistente del Active Directory con solo los siguientes objetos de la carpeta Objetos de usuario seleccionados, crear objetos seleccionados en esta carpeta y eliminar objetos seleccionados en esta carpeta.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/aduc_delegate_join_linux.png)

1. Seleccione **Lectura** y **Escritura** y luego elija **Siguiente**.  
![\[Cuadro de diálogo de permisos del Asistente de delegación de control con los siguientes permisos seleccionados: general, específicos de propiedad y lectura.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/aduc_delegate_join_permissions.png)

1. Compruebe la información en la página **Finalización del Asistente para delegación de control** y seleccione **Finalizar**. 

1. Cree un usuario con una contraseña segura y añádalo al grupo `Joiners`. El usuario dispondrá entonces de los privilegios suficientes Directory Service para conectarse al directorio.

# Creación de un conjunto de opciones de DHCP para Simple AD
<a name="simple_ad_dhcp_options_set"></a>

AWS recomienda crear un conjunto de opciones de DHCP para el Directory Service directorio y asignar el conjunto de opciones de DHCP a la VPC en la que se encuentra el directorio. De este modo, las instancias de la VPC apuntarán al dominio y a los servidores DNS especificados para resolver los nombres de dominio.

 Para obtener más información sobre los conjuntos de opciones de DHCP, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) en la *Guía del usuario de Amazon VPC*.

**Creación de un conjunto de opciones de DHCP para un directorio**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **DHCP Options Sets** y, a continuación, elija **Create DHCP options set**.

1. En la página **Crear conjunto de opciones de DHCP**, facilite los siguientes valores para el directorio:  
**Nombre**  
Etiqueta opcional para el conjunto de opciones.  
**Nombre del dominio**  
El nombre completo del directorio, por ejemplo `corp.example.com`.  
**Domain name servers**  
Las direcciones IP de los servidores DNS del directorio AWS proporcionado por el usuario.   
Para encontrarlas, en el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) seleccione **Directorios** y elija el identificador de directorio correspondiente.  
**NTP servers**  
Deje este campo en blanco.  
**NetBIOS name servers**  
Deje este campo en blanco.  
**NetBIOS node type**  
Deje este campo en blanco.

1. Luego, **Create DHCP options set (Crear conjunto de opciones de DHCP)**. El nuevo conjunto de opciones de DHCP aparecerá en la lista de opciones de DHCP.

1. Anote el ID del nuevo conjunto de opciones de DHCP (dopt-). *xxxxxxxx* Lo necesitará para asociar dicho conjunto a su VPC.

**Para cambiar el conjunto de opciones de DHCP asociado a una VPC**

Los conjuntos de opciones de DHCP no se pueden modificar una vez creados. Si quiere que su VPC utilice un conjunto de opciones de DHCP distinto, tendrá que crear uno nuevo y asociarlo a la VPC. También puede configurar la VPC para que no utilice opciones de DHCP.

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. **En el panel de navegación, elija Su. VPCs**

1. Seleccione la VPC y, a continuación, elija **Acciones**, **Editar la configuración de la VPC**.

1. En **Conjunto de opciones de DHCP**, seleccione un conjunto de opciones o elija **Sin conjunto de opciones de DHCP** y, a continuación, elija **Guardar**.

Para cambiar el conjunto de opciones de DHCP asociado a una VPC mediante la línea de comandos, consulte lo siguiente:
+ **AWS CLI**: [associate-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html)
+  **AWS Tools for Windows PowerShell**: [Register-EC2DhcpOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html)